2024网络信息安全应急响应指南

网络信息安全应急响应指南网络信息安全应急流程概述网络信息安全应急响应Linux应急手册网络信息安全应急响应windows应急手册网络信息安全应急响应案例介绍网络信息安全应急响应概述网络信息安全应急响应设备系统类应急手册网络信息安全应急响应数据库应急手册网络信息安全应急响应网络流量类应急手册网络信息安全应急响应中间件应急手册应急响应培训概述我们要做什么目录contents相关法律法规应急响应概述1应急响应流程23应急响应综述计算机安全事件是指由于自然或者人为，以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或者在信息系统内发生对社会造成负面影响的事件。常见的一些计算机安全事件如：窃取商业机密垃圾邮件或邮件骚扰；对计算机系统的未授权访问或非法入侵；盗用；拥有或分发非法内容（例如色情等）；拒绝服务（DoS、DDoS）攻击；商业关系的侵权冲突；敲诈；不当使用；其证据可存储在计算机介质中的任何非法行为（如欺骗、恐吓）等。导致安全事件的原因大型企业的业务模式多，对外暴露的服务也多。由于对外暴露的服务多，导致被攻击的面也会扩大。黑产团伙每天都会利用秒杀型漏洞批量扫描全网IP除了做黑产，还有可能会遇到APT……应急响应对应的英文是IncidentResponse或EmergencyResponse”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。应急响应目标目录contents应急响应概述我们要做什么相关法律法规121应急响应流程3法律法规、政策要求（一）国家网络安全事件应急预案（二）GB/Z

20985-2007信息技术

安全技术

信息安全事件管理指南（三）GB/T

20986-2007

信息安全技术

信息安全事件分类分级指南（四）GB/T

20988-2007信息安全技术

信息系统灾难恢复规范（五）GB/T

24363-2009

信息安全技术

信息安全应急响应计划规范（六）GBT

28517-2012

网络安全事件描述和交换格式……法律法规、政策要求应急事件分类计算机病毒事件：病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。蠕虫事件：指网络蠕虫，其表现形式为，内外网主机遭受恶意代码破坏或从外网发起对网络的蠕虫感染。木马事件：是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。僵尸网络事件：是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。域名劫持事件：是指通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。网络仿冒事件：是指不法分子在互联网上仿冒知名的电子交易站点（如银行或拍卖网站）的网页，诱使用户访问假站点，骗取用户的账号和密码等信息，从而窃取钱财。网页篡改事件：是指攻击者已经获取了网站的控制权限，将网页篡改为非本网站的页面。应急事件分类网页挂马事件：是指攻击者已经获取了网站的控制权限，在网站上插入恶意代码，以实现针对所有访问者进行木马攻击事件。拒绝服务攻击事件：拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。后门漏洞事件：是指攻击者已经获取了网站或服务器权限，为实现长久控制的目的，在网站或服务器上留下可再次进入的后门程序。非授权访问事件：是指没有预先经过同意，就使用网络或计算机资源，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。垃圾邮件事件：是指未经用户许可（与用户无关）就强行发送到用户的邮箱中的任何电子邮件。其他网络安全事件：其它未在上述定义的网络安全事件。应急事件分级对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为：特别重要信息系统重要信息系统一般信息系统应急事件分级分级要素-系统损失对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。分级要素-社会影响对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。应急事件分级目录contents应急响应概述我们要做什么应急响应流程相关法律法规1231应急响应流程4、根除阶段应急响应流程-准备阶段应急响应的准备是整个应急响应过程有效性的保证。因此，在应急响应实施前，应该：进行调研分析；确定应急响应的目标；确定应急响应范围；制定应急响应预案；制定应急服务方案；签署应急响应服务承诺书；应急响应工具准备及更新维护；组建适当的管理与实施团队；制定预防和预警机制；应急响应流程-检测阶段确定检测对象及范围判断是否为安全事件确定应急处理方案明确检测范围与检测行为规范预测应急处理方案可能造成的影响应急响应流程-抑制阶段明确抑制处理的目的明确抑制处理带来的风险抑制处理方案应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节。在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。将检测到的结果跟客户进行充分沟通，告知客户目前面临的主要问题，及处理方法。应急响应流程-根除阶段确定根除方案明确风险事件根除记录应急响应流程-恢复阶段明确风险重建系统数据备份安装新操作系统配置基线及访问控制数据恢复上线测试应急演练应急响应流程-跟进阶段从安全事件中吸取经验教训非常关键，不停的自我完善的防护体系和策略才是最好的安全设计思路。将每次安全事故的表现和处理步骤发布在内部的信息安全发布站点上，方便以后内部出现同样攻击事件后处理。对于内部需要改善和做出调整的安全配置在内部网络中及时发布更新策略。Thanks应急响应培训应急流程概述我们要做什么目录contents各类事件流程样例2应急响应流程概述1应急概述应急概述：事件定性性质决定手法、手法留有痕迹典型Web系统网络架构应急概述：攻击过程应急概述：攻击手法应急概述：攻击手法应急概述：攻击手法应急概述：还原手法我们要做什么目录contents应急响应流程概述各类事件流程样例121应急响应涉及面应急响应WindowsLinux操作系统OSIIS、Tomcat、Jboss、weblogic、websphere……中间件Middleware数据库DataBaseMysql、Sqlserver、Oracle、Redis……网络流量Net

Flow网络&安全设备Net&Sec

DeviceHTTP(S)、TCP、UDP、专有协议……交换机、防火墙、IDS/IPS、态势感知……勒索病毒应急流程挖矿木马应急流程网络攻击应急流程数据泄露应急流程网页篡改应急流程应急响应涉及面应急响应WindowsLinux操作系统OSIIS、Tomcat、Jboss、weblogic、websphere……中间件Middleware数据库DataBaseMysql、Sqlserver、Oracle、Redis……网络流量Net

Flow网络&安全设备Net&Sec

DeviceHTTP(S)、TCP、UDP、专有协议……交换机、防火墙、IDS/IPS、态势感知……Thanks应急响应培训Linux应急我们要做什么目录contentsLinux检查工具2Linux手工检查项1手工检查项总结1、系统检查项1、查看系统版本：lsb_release

-a

//适用所有Linux发行版(RedHat、SUSE、Debian…)cat/etc/issue

//适用所有Linux发行版cat/etc/redhat-release

//适用Redhat系的Linuxcat/etc/os-release2、查看系统内核版本：1）cat/proc/version2）uname

-a2、账号检查项1、用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell注:

超级用户ID=0，普通用户ID=500-，伪用户ID=1-4992、/etc/shadow3、/etc/sudoers除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限。账号检查项last #显示所有用户最近登陆信息，默认读取/var/log/wtmp日志文件。格式：用户名

终端(pts/tty)登陆IP/内核

星期月日开始时间-结束时间

持续时间lastlog

#显示所有用户最近一次登陆信息，默认读取/var/log/lastlog日志文件。格式：用户名

终端

登陆IP

最后登陆时间账号检查项3)

lastb #显示登录系统失败的用户信息，默认读取/var/log/btmp日志文件格式：用户名

终端

尝试IP

星期月日开始时间-结束时间

持续时间3、操作历史检查项1、root的历史命令history[root@localhost~]#history

>>history.txt2、/home下各帐号目录的.bash_history，查看普通帐号的历史命令[root@localhost~]#less

/home/xxx/.bash_history4、网络检查项netstat–antlp|

moreWEB服务：80、443、8080系统服务：21、22、23DB服务：3306、1521、63795、进程检查项用top命令查看资源(cpu/mem)占用率，并按C键通过占用率排序进程检查项1、psaux|

grep$pid|

grep-vgrep字段：用户,进程ID,CPU使用比,内存使用比,虚拟内存,固定内存,状态,启动时间,使用时间,命令2、ps

-ef字段：用户,进程ID,父进程ID,CPU使用率,系统启动时间,终端,CPU使用时间,CMD进程检查项3、用lsof命令，查找进程路径lsof-i:1677 查看指定端口对应的程序lsof-p

1234 检查pid号为1234进程调用情况4、用ls命令查看下pid所对应的进程文件路径：ls-l

/proc/$PID/exe或file/proc/$PID/exe($PID为对应进程号)6、开机启动检查项启动项排查：ls

-alt

/etc/init.d/ //查看常规启动项ls

-alt

/etc/rc[0~6].d //查看其他运行级别的启动项ls

-alt

/etc/rc.d/rc[0~6].d//rc[0~6].d中0~6

代表运行级别chkconfig–list7、定时任务检查项1、查看是否有可疑任务：crontab–l或cat/etc/crontab

或more/etc/crontab2、查询用户的任务：crontab-uroot–l定时任务检查项MinuteHourDayMonthWeek

command分钟

小时

天

月

星期

命令0-59 0-231-311-120-6

command定时任务检查项其他定时任务目录文件：/etc/cron.d/* //存放系统级任务的任务文件/etc/cron.hourly/* //存放每小时任务/etc/cron.daily/* //存放每日任务/etc/cron.weekly/* //存放每周任务/etc/cron.monthly/* //存放每月任务/etc/anacrontab //存放系统级的任务/var/spool/cron/* //放各个用户的任务文件计划任务的日志：/var/log/cron*8、服务检查项chkconfig

--list

查看服务自启动状态，可以看到所有的RPM包安装的服务psaux|

grep

crond

查看当前服务9、异常文件检查项查看指定目录文件：

ls

/

-alt 或ls-alt|head-n

10查找777的权限的文件：

find

/

*

-perm777

或ls–l

/查找隐藏文件：

ls

–a

/异常文件检查项查找访问的文件：find/root/-atimen //n表示n天之前的“一天之内”被访问过的文件find

/root/-atime+n //列出在n天之前（不包含n天本身）被访问过的文件find/root/

-atime-n //列出在n天之内（包含n天本身）被访问过的文件查找2天内新增的文件：

find

/root/

-ctime

-2//新增文件10、系统日志检查项1、常见日志文件：/var/log/wtmp 记录所有用户最近登陆信息，用last命令查看/var/log/lastlog 记录用户最后一次登录的信息，用lastlog命令查看/var/log/btmp 记录登录系统失败的用户信息，用lastb命令查看/var/log/utmp 记录当前正登录的用户及其执行信息，用who或w命令查看/var/log/message

记录系统重要信息(异常错误等)信息/var/log/secure记录安全相关:验证授权,账号密码信息，如ssh登陆su切换sudo授权/var/log/cron 记录定时任务执行相关的日志信息/var/log/auth.log包含系统授权信息，包括用户登录和使用的权限机制等/var/log/userlog

记录所有等级用户信息的日志系统日志检查项系统日志检查项查看登录成功的信息：cat

/var/log/secure查看登录成功的IP：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|moregrep"Accepted"/var/log/auth.log|awk'{print$11}'|sort|uniq-c|sort-nr|

more11、防火墙检查项查看本机关于IPTABLES的设置情况:

iptables-L

–n12、安装包检查项校验所有的RPM软件包,查找丢失的文件:rpm

-Va病毒后门查杀检查项后门排查：Chkrootkit：

/Magentron/chkrootkit

Rkhunter：/installation/rkhunter

LnuxCheck：/al0ne/LinuxCheck手工检查项总结目录contentsLinux手工检查项我们要做什么Linux检查工具121Linux

检查工具whohk：进程\网络\启动项\用户等下载：/heikanet/whohk河马：webshell查杀简介：拥有海量webshell样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。兼容性：支持Windows、linux，支持在线查杀。地址：https:///河马：webshell查杀河马：webshell查杀河马：webshell查杀360星图：日志分析介绍：360星图：360旗下开拓的站点日记分析工具，使用360站点卫士中心数据分析模块，云+端联动分析，转变为全新的Web日记分析系统，深刻分析黑客袭击行动和非常访问，譬如Web漏洞袭击辨认、CC袭击辨认、恶意爬虫扫描辨认、非常访问辨认等。使用：这一行填写日记路径，可以目录或文件1）修改配置：/conf/config.ini

文件中的log_file项:2）执行start.bat主动处置日记。3）生成结果在result目录。360星图：日志分析360星图：日志分析Thanks应急响应培训Windows应急我们要做什么目录contentsWindows检查工具2Windows手工检查项1手工检查项总结1、“系统”检查项msimfo32“系统”检查项systeminfo“系统”检查项/Home.aspx2、“网络”检查项检查监听端口、检查端口连接情况，是否有可疑连接netstat-abno|findstr

"LISTENING"netstat-abno|findstr

"ESTABLISHED"“网络”检查项常见高危端口：WEB服务：80、443、8080等系统服务：3389、445、139DB服务：1433、3306、1521、63793、“账户”检查项查看是否存在可疑账号、新增账号方法1：打开cmd

窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。“账户”检查项查看是否有账号弱口令方法1：据实际情况咨询相关服务器管理员。尝试简单密码“账户”检查项查看是否存在隐藏账号、克隆账号方法1：WIN+R，输入regedit打开注册表编辑器，找到以下键值HKEY_LOCAL_MACHINE/SAM\SAM/Domains/Account/Users/Names“账户”检查项查看是否存在隐藏账号、克隆账号方法2：使用D盾_web查杀工具，集成了对克隆账号检测的功能；4、“操作记录”检查项命令执行历史1、WIN+R

键—打开框中输入cmd2、Cmd窗口关闭前:

按F7、doskey

/HISTORY、上下箭来查看历史。“操作记录”检查项应用程序运行历史：1、执行过的程序记录：C:/Windows/Prefetch浏览器历史：1、Edge：菜单--历史记录2、Chrome：菜单--历史记录3、Firfox：菜单--我的足迹--历史4、360SE：5、“启动项”检查项1）检查服务器是否有异常的启动项方法1：Win+R输入msconfig，查看是否存在命名异常的启动项目.“启动项”检查项1）检查服务器是否有异常的启动项方法2：Win+R输入regedit，打开注册表，查看开机启动项是否正常，如下三个注册表项：HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce方法3：使用工具查看启动项：D盾_web查杀，PChunter，火绒剑等。“启动项”检查项2）检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。利用杀毒软件进行判断等。组策略，运行gpedit.msc。6、“计划任务”检查项检查计划任务方法1：单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。“计划任务”检查项检查计划任务方法2：WIN+R，输入taskschd.msc“计划任务”检查项检查计划任务方法3：schtasks/query//所有任务“计划任务”检查项检查计划任务C:/Windows/System32/Tasks

该目录一个文件对应一个任务。当系统不能启动时，可在PE进入拷贝出来后用notepad++查看7、“防火墙”检查项方法：设置-->更新和安全-->Windows安全中心-->防火墙和网络保护-->高级设置入站规则：可设置允许/阻断某个服务端口“防火墙”检查项方法：设置-->更新和安全-->Windows安全中心-->防火墙和网络保护-->高级设置出站规则：可设置允许/阻断某个或所有程序外连接8、“进程”检查项查看异常进程：方法1(任务管理器)：直接打开任务管理器—详细信息“进程”检查项方法2(命令查看)：wmic

process

list

brief

//查询所有进程wmicprocess

get

name,processid,executablepath

//查询进程名ID路径wmicprocess

whereprocessed=””

getname,executablepath

//根据ID查进程名路径“进程”检查项方法2(命令查看)：wmic

process

list

brief

//查询所有进程wmicprocess

get

name,processid,executablepath

//查询进程名ID路径wmicprocess

whereprocessed=””

getname,executablepath

//根据ID查进程名路径“进程”检查项方法3(其他工具)D盾_web查杀工具：查看可疑进程；D盾_web查杀工具：查看可疑进程；火绒剑：“进程”检查项杀死异常进程：方法1：上述工具中右键可疑进程—选择结束进程即可方法2：cmd中先用tasklist

列出进程(名+ID)，再用(taskkill

/im

进程名/f)

或(taskkill

/pid进程ID)(解释:

/im

立即

/f强制结束进程)“进程”检查项进程文件定位：netstat-ano|

more

//查看目前的网络监听或连接，定位可疑的进程IDtasklist

|findstr

“PID”//根据以上查到的pid，再用tasklist命令定位进程文件wmicprocess

|findstr

"xxx.exe"//获取进程全路径“进程”检查项进程文件定位：netstat-ano|

more

//查看目前的网络监听或连接，定位可疑的进程IDtasklist

|findstr

“PID”//根据以上查到的pid，再用tasklist命令定位进程文件wmicprocess

|findstr

"xxx.exe"//获取进程全路径wmicprocess

where

name="cmd.exe"

get

processid,executablepath//根据进程名或ID获取路径“进程”检查项进程文件定位：方法2：任务管理器---进程—进程右键—打开文件所在位置9、“安装包”检查项10、“服务”检查项服务自启动方法：Win+R，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。11、“文件”检查项痕迹查找常见方法：1）回收站2）下载目录：各浏览器下载目录3）最近使用的文件：开始--运行--%UserProfile%/Recent

或Recent开始--运行--%userprofile%/AppData/Roaming/Microsoft/Windows/Recent/4）文件搜索历史：资源管理器—搜索—最近搜索的内容5）搜索新增文件：资源管理器—搜索—修改日期(选择天数)6）命令执行历史：7）应用程序打开历史：8）浏览器历史记录：9）临时文件目录Temp：%UserProfile%/Local

Settings/temp10）文件历史记录：控制面板\系统和安全\文件历史记录(要事先启用才记录)12、“日志”检查项Windows日志：应用程序：记录安装的应用程序执行信息，警告，错误安全：记录系统及程序安全相关的信息，包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则安全日志将记录对系统的登录尝试：Logon/SpecialLogon登录/特殊登录User

Account

Management用户帐户管理Security

Group

Management安全组管理Security

StateChange安全状态改变Authentication

PolicyChange身份验证策略更改AuditPolicy

Change审核策略更改System

Integrity系统完整性OtherPolicy

ChangeEvents其他政策变更事件OtherSystem

Events其他系统事件系统：记录系统服务组件的运行信息,警告，错误Setup：记录系统程序/更新补丁安装“日志”检查项Windows日志文件路径：Windows2000/2003/XP日志路径：C:/Windows/System32/Config/*.evtWindowsVista/7/10/2008日志路径:

C:/Windows/System32/winevt/Logs/*.evtx该路径下存放所有系统日志evt文件，无法进入系统时用PE引导拷贝出来，在用其他系统的事件查看器打开查看。“日志”检查项安全日志事件类型ID：Event

ID(2000/XP/2003)Event

ID(Vista/7/8/2008/2012)描述日志名称5284624成功登录Security5294625失败登录Security6804776成功/失败的账户认证Security6244720创建用户Security6364732添加用户到启用安全性的本地组中Security6324728添加用户到启用安全性的全局组中Security29347030服务创建错误System29447040IPSEC服务服务的启动类型已从禁用更改为自动启动System29497045服务创建System“日志”检查项日志查看：方法1：Windows自带事件查看器打开运行Win+R，输入“eventvwr.msc”，回车启动事件查看器。点击windows日志/安全“日志”检查项日志查看：方法1：Windows自带事件查看器打开运行Win+R，输入“eventvwr.msc”，回车启动事件查看器。点击windows日志/安全1）查看网络登录成功记录：(筛选器--事件ID

4624)（注意成功登录时间）“日志”检查项日志查看：方法1：Windows自带事件查看器打开运行Win+R，输入“eventvwr.msc”，回车启动事件查看器。点击windows日志/安全2）查看登录失败记录：(事件ID4625/529)如果存在大量的登录失败，说明存在爆破尝试；注意开始爆破时间“日志”检查项日志查看：方法2：导出安全日志，利用文本工具或LogParser进行分析。“日志”检查项日志查看：方法2：导出安全日志，利用文本工具或LogParser进行分析。13、“内存”检查项Volatility：https:///zaqzzz/p/10350989.htmlhttps:///sesefadou/p/11804566.html/qq_45951598/article/details/110914935手工检查项总结目录contentsWindows手工检查项我们要做什么Windows检查工具121Windows检查工具火绒：进程\网络\启动项\注册表等PCHunter

:

进程\网络\启动项\注册表等Power

Tools:

进程\网络\启动项\注册表等Procexp

:

进程\网络\启动项\注册表等D盾：Webshell查杀牧云：Webshell查杀Sangfor

webShellKiller:

Webshell查杀Log

Parser:

日志分析LogParser：下载地址：https:///en-us/download/details.aspx?id=24659工具简介：LogParse是一个功能强大的通用工具，它提供对基于文本的数据（如日志文件、XML文件和CSV文件）以及Windows®操作系统上的关键数据源（如事件日志、注册表、文件系统和活动目录）的通用查询访问。Log

Parser:

日志分析1)启动软件并打开日志文件:语句为：select

*

from

‘path/to/logfile’Log

Parser:

日志分析2)取消不需要的字段：Log

Parser:

日志分析3)过滤器使用：Log

Parser:

日志分析4)

编辑过滤器360星图：日志分析360星图：介绍：360星图：360旗下开拓的站点日记分析工具，使用360站点卫士中心数据分析模块，云+端联动分析，转变为全新的Web日记分析系统，深刻分析黑客袭击行动和非常访问，譬如Web漏洞袭击辨认、CC袭击辨认、恶意爬虫扫描辨认、非常访问辨认等。使用：修改配置：/conf/config.ini

文件中的log_file项: 这一行填写日记路径，可以目录或文件执行start.bat主动处置日记。3）生成结果在result目录。360星图：日志分析360星图：日志分析Thanks应急响应培训中间件应急中间件类型中间件常见漏洞1、IIS漏洞2、Apache漏洞3、Nginx漏洞4、Tomcat漏洞5、Jboss漏洞6、WebLogic漏洞7、其它中间件相关漏洞中间件日志Apache日志路径Nginx日志路径IIS日志路径IIS日志路径Tomcat日志路径Jboss日志路径Weblogic日志路径默认配置情况下，WebLogic会有三种日志，分别是accesslog,

Server

log和domain

log$MW_HOME是WebLogic的安装目录<domain_name>是域的实际名称，是在创建域的时候指定的<server_name>是Server的实际名称，是在创建Server的时候指定的<adminserver_name>是AdminServer的实际名称，是在创建Admin

Server的时候指定的Websphere日志路径中间件日志分析案例题目1近日一网站运维人员查看日志文件，发现有人对服务器做扫描攻击，请大家分析此文件，找出这个IP地址。题目2某公司安全工程师发现公司有黑客入侵并拖库的痕迹，你能帮忙找一下黑客拖库的IP地址吗？题目3发现有人连接过一个一句话的WebShell，请找到连接WebShell的IP地址。题目4根据提供的日志，其中有一个IP通过SQL注入方式拿到了管理员的账户密码，找到这个IP地址。Thanks应急响应培训数据库应急常见数据库计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70数据库检查项1、数据库排查流程数据库检查通用流程：1）确定数据库类型及版本2）数据库是否未授权访问3）检查数据库账号安全(弱口令、可疑账号)4）检查用户连接登录情况(用户名、角色、创建日期、最近登录日期、登录失败)5）数据库语句执行历史(系统命令执行，数据篡改等)6）数据库是否泄露数据(数据库文件有无访问拷贝,是否有数据导出命令，是否有大量查询)7）数据库日志检查（日志类型,存放目录）8）数据库漏洞检查（提权，代码执行）常见的数据库攻击包括未授权访问、弱口令、SQL注入、提升权限、代码执行、窃取备份等。2、mssql

排查计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70数据库版本确定：2、mssql

排查检查数据库账号安全(弱口令、空口令、可疑账号)：用客户端直接连接服务器而未进行身份验证(空密码)登录成功可咨询管理员用客户端连接后尝试简单的用户密码或默认密码的登录2、mssql

排查计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70用户及连接登录情况：1、查看用户最后一次登陆时间：select

loginname,accdate

from

sys.syslogins2、查看客户端的连接：Select*

from

sys.dm_exec_connections2、mssql

排查计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70查看当前用户的执行：sp_who

'sa'

或sp_who

'WIN-S8BL8USPTOG\Administrator'2、mssql

排查计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70日志功能配置：启用日志记录功能，默认配置仅限失败的登录，修改为失败和成功的登录，这样就可以对用户登录进行审核。2、mssql

排查计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70存储过程查看日志：execxp_readerrorlogexec

sys.sp_readerrorlog3、mysql

排查计数据表明，在所安全事害25%,

技术错误占 员作案占10%，

仅有3%左右是由外部不法人员的攻击造管理方面的原因比重高达70showvariables

like

'log'; 查看查询日志是否开启3、mysql

排查利用shell命令进行简单的分析：#有哪些IP在爆破：grep

"Accessdenied"mysql.log

|cut

-d"'"-f4|uniq-c|sort

-nr#爆破用户名字典都有哪些：grep

"Access

denied"mysql.log|cut

-d"'"

-f2|uniq-c|sort

-nr4、其他数据库排查Oracle数据库日志路径日志默认路径：%ORACLE%/rdbms/log非默认路径时执行语句SQL>showparameter

dump_dest得出background_dump_dest的值为日志路径PostgreSQL数据库日志路径日志路径：Linux：/var/log/progresql/Widnows：%progresql%\log\Redis数据库日志路径Linux：/var/log/redis/redis.logWindwos：%redis%/log/redis.logmongoDB数据库日志路径日志默认路径:Linux：/var/log/mongodb/mongod.logWindows:%mongodn%/log/Thanks应急响应培训案例介绍（上）PA

R

T tw

o勒索病

毒0

1勒索病毒勒索病毒勒索病毒事件流程案例：某公司勒索病毒事件勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。应急结论：攻击者通过IP:58

(上海电信）、IP:54(北京阿里云）于2020-10-17

15:26左右，使用系统账户VA_03通过互联网远程登录用友U8系统服务器，并开始进行上传和释放勒索病毒程序。随后用友U8系统服务器于2020-10-1719:29

和22:29分使用管理员账户通过局域网登录个人办公电脑，该电脑部分文件于2020-10-17

22:37左右被进行病毒感染和完成文件加密。后续：协助客户报警处置，应急报告提交公安机关。协助可以重装电脑，并加固操作系统。PA

R

T Tw

o挖矿病

毒0

2挖矿木马挖矿木马案例：某校园服务器感染挖矿病毒事件挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。综合上述特征比较，确认该木马程序为linux挖矿木马systemdMiner，该木马通过bash命令下载执行多个功能模块，通过SSH暴力破解、SSH免密登录利用、Hadoop

Yarn未授权访问漏洞和自动化运维工具内网扩散，且该木马的文件下载均利用暗网代理，感染后会清除主机上的其他挖矿木马，以达到资源独占的目的，该病毒行为特征图如下：挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。应急结论：被通报的校园网攻击事件应为由挖矿木马程序在尝试进行内网扩散时扫描攻击产生，该木马的下载定时任务、进程由账户yuanfa创建和运行，判断该挖矿木马可能为通过Hadoop

Yarn未授权访问漏洞或弱口令用户漏洞进行植入，疑似攻击源IP为。后续：疑似攻击源IP为交由客户继续跟进，事件结束。P

A

R

T

T

h

r

e

e入侵攻击事件0

3入侵攻击事件入侵攻击事件入侵事件应急响应流程案例：某公司内网项目文件被盗事件入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。应急结论：初步判断xxxx公司的服务器（IP:00）最早于2019-5-7日已遭受攻击并获取管理员权限进入到公司内网，攻击者再随后的时间不定期的通过已建立的后门通道进行内网访问其它服务器的文件目录。攻击者在2020-9-4重新进入内网并执行本地密码读取工具，获得域控管理员权限，访问多台内网其它服务器，并最后在2020-9-25日再次进入xxxx公司内网并开始执行拷贝项目相关文档的操作。PA

R

T Tw

o数据泄露事件0

4数据泄露事件数据泄露事件数据泄露事件案例：某学校数据泄露事件数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。应急结论：某学校Elasticsearch服务存在未授权访问漏洞，该服务存储某学校业务软件运行的异常记录。在2020年4月和9月有多个境外IP(附表)异常连接该Elasticsearch服务器，存在数据传输情况。Thanks应急响应培训案例分析（下）PA

R

T tw

o网页篡

改0

5网页篡改事件网页篡改事件网页篡改事件案例：某公司网站业务篡改事件网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司勒索病毒事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。应急结论：结合技术分析研判，初步判定此次事件主要原因是XXX公司后台商户管理系统存在weblogic反序列化漏洞，漏洞被黑客攻击者利用上传恶意图片文件。PA

R

T tw

o钓鱼邮

件0

6钓鱼事件应急处置目的：邮件取样、事件溯源、协助止损、邮件取样：邮件样本、邮件附件；、事件溯源：分析邮件（钓鱼、勒索、挖矿）、入侵排查；、协助止损：跟踪溯源，安全自查。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。应急结论：1、经邮件服务器梭子鱼网关搜索，只匹配到“关于新冠肺炎的一切”邮件信息，有9个邮箱收到该邮件（3个人员邮箱收到并未查看邮件信息，2个人员邮箱查看了邮件内容并未打开邮件正文的附件链接，4个人员邮箱为离职人员（邮箱已不使用）），发件人均为“info_center@yeah.net”，邮件发送时间为2020年2月10日9点51分至10点03分，发送内容相同，搜索其他关键字并未发现其他相关的邮件。2、分析发件人（info_center@）邮箱，该邮箱为“广州网易计算机系统有限公司”邮箱，信息包括：邮箱地址、IP地址、归属地3、通过分析邮件内容，发现该邮件附件内容为超链接（http://*********./），超链接已无法访问，未能提取出附件内容。4、某公司医疗已在邮箱管理处配置相关安全策略，暂未发现存在安全风险。P

A

R

T

S

e

v

e

nD

D

O

S

流量攻击0

7DDOS流量攻击应急处置目的：攻击溯源、提供解决方案、协助止损等；、事件溯源：分析防护日志（IP地址判定）、协助止损：跟踪溯源，提供解决方案；DDOS流量攻击案例：某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。DDOS流量攻击某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。DDOS流量攻击某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。DDOS流量攻击某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务